Esperto di Semalt - Come combattere Petya, NotPetya, GoldenEye e Petrwrp?

Forcepoint Security Labs lo ha definito un focolaio di Petya, ma altri fornitori usano parole alternative e nomi aggiuntivi per esso. La buona notizia è che questo esempio ha cancellato il test delle anatre e ora i file possono essere crittografati sui dischi senza modificarne le estensioni. Puoi anche provare a crittografare il Master Boot Record e verificarne i postumi sui dispositivi del computer.

Pagando la richiesta di riscatto di Petya

Igor Gamanenko, il Customer Success Manager di Semalt , suggerisce di non pagare il riscatto a nessun costo.

È meglio disattivare l'ID e-mail piuttosto che pagare il riscatto per l'hacker o l'attaccante. I loro meccanismi di pagamento sono generalmente fragili e non legittimi. Se devi pagare il riscatto tramite un portafoglio BitCoin, l'attaccante potrebbe rubare molti più soldi dal tuo account senza farti sapere.

In questi giorni, è diventato molto difficile ottenere file non crittografati indipendentemente dal fatto che gli strumenti di decrittazione sarebbero disponibili nei prossimi mesi. Dichiarazione di protezione e vettore di infezione Microsoft afferma che il fornitore di infezione iniziale ha vari codici dannosi e aggiornamenti software non legittimi. In tali circostanze, tale fornitore potrebbe non essere in grado di rilevare il problema in modo migliore.

L'attuale iterazione di Petya mira a evitare i vettori di comunicazione che sono stati salvati dai gateway di sicurezza e-mail e web. Molti campioni sono stati analizzati utilizzando credenziali diverse per scoprire la soluzione del problema.

La combinazione dei comandi WMIC e PSEXEC è di gran lunga migliore dell'exploit SMBv1. A partire da ora, non è chiaro se un'organizzazione che si fida di reti di terze parti capirà o meno le regole e i regolamenti di altre organizzazioni.

Pertanto, possiamo dire che Petya non presenta sorprese per i ricercatori di Forcepoint Security Labs. A partire da giugno 2017, Forcepoint NGFW è in grado di rilevare e bloccare gli exploit delle PMI da parte di aggressori e hacker.

Deja vu: Petya Ransomware e capacità di propagazione delle PMI

L'epidemia di Petya è stata registrata nella quarta settimana di giugno 2017. Ha avuto un grande impatto su varie aziende internazionali, con siti Web di notizie che affermano che gli effetti sono di lunga durata. Forcepoint Security Labs ha analizzato e rivisto diversi campioni associati alle epidemie. Sembra che i report dei Forcepoint Security Labs non siano interamente preparati e che la società richieda del tempo aggiuntivo prima di poter trarre alcune conclusioni. Pertanto, ci sarà un ritardo significativo tra la procedura di crittografia e l'esecuzione del malware.

Dato che il virus e il malware riavviano i computer, potrebbero essere necessari diversi giorni prima che vengano rivelati i risultati finali.

Conclusione e raccomandazioni

In questa fase è difficile trarre conclusioni e valutazioni su un'implicazione di vasta portata degli scoppi. Tuttavia, sembra che sia il tentativo finale di distribuire pezzi di ransomware auto-propaganti. A partire da ora, Forcepoint Security Labs mira a continuare la sua ricerca sulle possibili minacce. La società potrebbe presto presentare i suoi risultati finali, ma richiede molto tempo. L'uso degli exploit SMBvi verrà rivelato una volta che i Forcepoint Security Labs presenteranno i risultati. È necessario assicurarsi che gli aggiornamenti di sicurezza siano installati sui sistemi del computer. Secondo le politiche di Microsoft, i client dovrebbero disabilitare SMBv1 su tutti i sistemi Windows in cui ciò influisce negativamente sulle funzioni e sulle prestazioni del sistema.